Google Play上的Joker家族-安全客

事件概要

2020年7月3日推特上有移动安全人员披露一起拥有1w+下载量的Joker家族样本，其家族名源于其早期使用的C2域名，提取了其中的特征字符串Joker作为其家族名称，其主要的恶意行为是肆意给用户订阅各种收费SP服务、窃取用户隐私来进行收益，鉴于Joker是目前Google Play商店上最活跃的家族之一，所以我对其家族成员样本进行详细分析，披露其近期“激进”的发展态势。

威胁细节

Google Play传播

Google Play应用商店Pioneer SMS APP，2020-07-03依然提供下载安装(目前已下架)，并且其存活于Google Play商店期间，已经拥有10K+的安装次数。

样本信息

信息类型	信息内容
MD5	8f3e2ae23d979adfb714cd075cefaa43
包名	com.pios.pioneer.messenger.sms
证书指纹	1a1f8513e81dc69b5f31d3fb81db360d33a21fb7
来源	Google Play
病毒家族	Joker(又称Bread)
加固方式	Dex加密

样本分析

Joker恶意家族采用动态加载的方式进行触发恶意行为，通过两次远程下载才将真正的恶意模块落地并执行起来。
第一次从https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/PioneerSMS.midi 地址下载一个包含Dex文件的压缩包，这还是一个Dropper文件。

这个Dropper文件的主要作用是从链接 https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/jiujiu.png 处下载一个包含classes.dex的压缩包，并且加载这个DEX文件并调用里面的方法com.antume.Cantin->buton，这个伪装成图片文件的压缩包才是真正的恶意模块。

这个恶意模块不断向 161.117.83.26/k3zo/B9MO 发送POST请求进行通信。

发送加密数据到C2并接受来自C2加密过的数据。

通讯数据采用了双重加密方式，一层自定义加解密再加上一层DES加解密，DES加解密用到的IV是(HEX值)3064333333343536，KEY用的是6662616533323734。

上传到C2的通信数据内容主要用来实现其筛选符合触发条件的手机，服务端C2根据获得的返回值，可以给不满足触发条件的手机下发一个返回不为0的error_code字段，用来控制这些手机不触发恶意行为。

向C2发送的数据字段简介：

字段	描述
serial	设备序列号或者App首次安装时间戳
iso	MCC+MNC代码 (SIM卡运营商国家代码和运营商网络代码)(IMSI)
os_version	SDK版本
pkg	App包名
mt	是否有监控收到短信的权限
mobile	移动数据是否开启，或者启用移动数据是否成功
sms	是否有发送短信的权限

反之，则对满足触发条件的手机下发返回其他字段的数据，从数据中提取键值为：device_id、app_id、p_u_u、r_d、s_r_c对应的值存放到名为Saurfang的SharedPreferences文件。接着从C2下发的数据解析出{pair: “<number>::<content>”}数据，向指定的<number>发送短信，内容为<content>。

提供给JavaScript(JS)调用API接口run方法，传入不同参数执行不同恶意功能：

JS API运行参数	描述
addComment	添加注释
sleep	睡眠
getPin	从最新发送来的短信中获取Pin确认码
setContent	设置发送给p_u_u指定URL的数据
submit	向C2发送数据
sendSms	发送短信
post	向指定URL发启POST请求
get	向指定URL发启GET请求
callPhone	拨打电话

上面是JS提供的接口，在这里通过从服务器返回的字段，解析出对应参数来执行对应的恶意功能。

该通信模块还会执行下载ELF文件并执行libtls_arm，来创建一个WebSocket链接和远程通信。

如果SIM不属于泰国AIS运营商的用户，就进行窃取短信内容并用HTTP请求发送到C2服务器上。

而一旦符合是泰国AIS运营商的用户，则会被其通过构造POST请求的方式强行订阅SP服务，造成被恶意扣费。

当用户存在访问网页的时候，Joker恶意家族还会窃取用户token、cookie等隐私数据。

另外，在对沃达丰SP、泰国DTAC通信公司相关SP服务进行请求时，会把其中的一些响应参数数据进行劫持替换修改成来自C2服务器的old、new的字段数据，实现劫持订阅病毒作者指定的SP服务。

劫持的方式通过替换下面页面的页面数据让用户发送短信到SP服务商，但是受益者就变成了病毒作者。

影响分析

Joker(又称Bread)家族最早于2016年12月被捕捉到，截至目前，该家族已扩展到13000+个样本。

除了之前在野样本，近期Joker家族似乎将影响目标增加锁定到了Google Play商店，这是6月份捕捉到的Joker家族样本，分别拥有100万+和50万+的下载量。

在我们进行编写报告期间，国外安全人员又发现GooglePlay上新的Joker恶意家族存活应用。这样的披露基本上每天都会有，从这些应用对应的下载量可窥见该家族的影响面较广。

我们截取2020年3月份至今在Google Play上被披露的一些Joker家族成员，数量庞大的家族成员以及惊人的下载量让Joker家族成为今年Google Play商店上最热门的家族之一。

安全建议

即使非常安全的Google Play商店，也有可能被病毒木马开发者当作其中的一个目标，以实现其木马的扩散传播，所以为了广大用户的安全考虑建议：

不要使用小众APP。
下载应用认准各大应用商店或者去大厂APP官网进行下载。
关注安全厂商安全新闻，一旦发现被披露的木马APP出现在自己手机上，及时联系专业安全人员进行处理。

IOCs

指标	值
MD5	dfb9f3d5ff895956cadd298b58d897b9
MD5	17dc81907be0bb4058cb57a8ae070df6
MD5	6b4441182513b8c8030ccb85132be543
MD5	60ef636f2e7df271b32077a70bd0a50c
MD5	e416811c9e7f0d97bfad9c9da7b753c8
MD5	9385d64ea6d616f7f51dc651631316b7
MD5	228a233d21daf56fa24e580f61f5acc5
MD5	cd9cd230a9710787a001df2398140c63
MD5	390bae9a353d7e9fef1a19bdd282b0f5
MD5	48a00e75e2003dd3af351059baf07f9a
MD5	8c5a550c28c768e2db20e92b245f9df2
MD5	e93ff35bc87014b5a39d8712fab9d423
MD5	0549b2d3159e82c669fcebc5d94c3a94
MD5	1ef48e47c0dd29e70c8047a97e515d9f
MD5	3bcc0fd4d1e98e2dd7323bd761cffbc9
MD5	7ff0f7825ed97be3fd440598edb46bfb
MD5	55eac99604d99fd48f238c14436f49a0
MD5	de104d5652dc2d6cb2415a7623fad4ec
MD5	de25ee9e5cc3c8c165931c9775bb23c6
MD5	0bda28e1e2ff21a932a3df8cf3b08661
MD5	7ed8d7b76c50cd1df3c1750c7ad95335
MD5	4a029c2ad0aca5e9f1c370f781d75656
MD5	a5cd660d6c3fad87a45c56e980e2bec0
MD5	a5d7442d2871eb9be7f55801fa6a8491
MD5	d6ad1f60684e9e44b870566cb6c62e11
MD5	30cba5586a09b02a148a4402d36cd9a2
MD5	962cfc0b9b9080085b2efdd672eeaa67
MD5	425b67ac92720c104889d2a08c02f797
MD5	7ffcd0ef95103b9c717fb59ec12039a7
MD5	97e9a69fbb0efb183560f90f66ad7852
MD5	57f8a1eb7099309d5c3a2342d25500a0
MD5	8cae996d06e1608035ffd569bec1bdb2
IP	161.117.62.127
IP	161.117.83.26
IP	47.74.179.177